无线传感器网络安全路由协议研究

- 1 - 无线传感器网络安全路由协议研究无线传感器网络安全路由协议研究 张留敏，李腊元 武汉理工大学计算机科学与技术学院，武汉（430063） Email: zhangsmallfish125 摘摘 要：要：由于无线传感器网络是一种能量、资源受限的网络，并且其中高敏感度数据传输业 务日益增多， 因此路由协议设计必须充分考虑能量与安全约束。 本文在分析和研究无线传感 器网络的安全特性及攻击类型的基础上， 着重对典型的安全路由协议进行详述与分析， 并对 各安全路由协议作了充分的理论性分析及优缺点比较， 为安全路由协议及可信路由协议的研 究提供了思路。 关键词：关键词：无线传感器网络，攻击，安全路由协议 中图分类号：中图分类号：TP393 1. 引言引言 无线传感器网络（Wireless Sensor Network, WSN）是由大量具有特定功能的传感器节点 通过自组织的无线通信方式，相互传递信息，协同地完成特定功能的智能专用网络。它综合 了传感器、嵌入式计算、现代网络与无线通信等技术，可以实时监测、感知和采集网络所监 控区域内的各种环境或监测对象的信息，并对收集到的信息进行适当处理（如数据融合、数 据加密等）后以自组多跳的网络方式传送给终端用户，在安全监测、空间探索、环境监测、 抢险救灾及军事应用等领域有着广泛的应用前景。 商业周刊 预测的未来四大新技术中， 无线传感器网络就列入其中；美国的技术评论杂志更是将无线传感器网络列为未来新兴 十大技术之首；2006 年初发布的国家中长期科学与技术发展规划纲要为信息技术确定 了三个前沿方向，其中两个与 WSN 研究直接相关，即智能感知技术和自组织网络技术。 无线传感器网络中，无线通信的广播本质导致其更易受到窃听、篡改等攻击；面临来自 内部节点的攻击、节点能量及通信能力不断变化，导致节点之间信任关系随之变化。这些安 全威胁导致无线传感器网络系统存在诸多脆弱性。在无线传感器网络业务不断发展过程中， 又出现诸多关键性、敏感性数据传输任务或者在敌对的、无人值守的环境中工作的场景，设 计路由协议时考虑有效的安全可信机制就显得十分必要。WSN 可信路由协议的研究已成为 下一代互联网（NGI）和下一代网络（NGN）领域中的重要研究课题。 本文主要从各种安全路由协议的工作机制、 性能分析比较的角度出发， 对无线传感器网 络安全路由作对比性分析研究。 本文的其余部分组织如下： 第 2 节对无线传感器网络的安全 特性作简要介绍； 第 3 节描述典型的安全路由协议的工作原理； 第 4 节通过表格式对比分析， 将各种安全路由协议的特点及性能作以小结；全文的总结与展望在第 5 节中给出。 2. 无线传感器网络的安全特性无线传感器网络的安全特性 2.1 WSN 的安全需求的安全需求 由于无线传感器网络使用无线通信方式， 而无线电链路并不安全， 攻击者能够偷听到网 络间的无线电传输、 能够在信道中注入比特数据， 且可以用先前知晓的数据包替换进入现有 的通信过程，加上日益增多的敏感数据传输业务等应用需求，WSN 中各层设计都需要强有 力的安全支持。然而，无线传感器网络的三大特点（存储、计算、电池能量资源非常有限； 不可靠的无线通信、网络规模大；非受控操作、面向应用）决定了实现 WSN 安全支持不是 - 2 - 一件容易的事，而是一大难题与挑战。 WSN 和 Ad Hoc 网络在具体安全设计中应考虑的影响因素比较如表 1 所示。从该表也 可更准确的把握 WSN 对整个网络安全及安全路由协议设计的需求。 表 1 WSN 与 Ad Hoc 网络安全设计影响因素比较 比较项目 无线传感器网络 Ad Hoc 网络 网络模型 sink 节点与传感器节点构成 普通网络节点自组织构成 网络规模 节点数目多、较稳定 节点数目从几十到几千，变化大 网络终端能力 终端通信能力受限 终端能力较强 通信模型 “多对一”、“一对多” 点对点通信 网络拓扑变化频率 网络拓扑较稳定 网络拓扑变化频繁、移动性强 网络应用环境 恶劣的、突变的环境 良好的、稳定的环境 总之，无线传感器网络安全需求有着自己的内容。安全设计时，必须着重考虑的通信安 全需求有：数据机密性（防窃听） 、数据完整性（防篡改） 、真实性（防伪造） 、数据新鲜性 （防重放） 、身份认证（防假冒）以及不可否认性（防攻占） 。这些安全的需求都要有针对性 很强的措施加以解决，才能保证无线传感器网络的有效安全性。 2.2 无线传感器网络常见的攻击类型无线传感器网络常见的攻击类型 与传统无线网络一样，无线传感器网络的消息及数据通信会受到监听、篡改、伪造及阻 断攻击。如图 1 所示。 图 1 传感器网络中的安全威胁：(a)监听；(b)篡改；(c)伪造；(d)阻断 无线传感器网络中主要存在以下几种常见的攻击方式：Sybil 攻击、虚假路由信息攻击 (Spoofed，altered or replayed routing information)、选择性转发攻击(selective forwarding)、 Sinkhole 攻击、wormhole 攻击、HELLO 泛洪攻击 (HELLO flood attacks)以及欺骗性确认攻 击(Acknowledgement spoofing)。1下面就其中几种作以简要介绍。 2.2.1 Sybil 攻击攻击 Sybil 攻击是无线传感器网络中容易出现的一种攻击，也是一种基本的攻击手段，不少 攻击手段均以这种攻击为基础或辅助手段。 在这种攻击中， 单个节点通过伪造身份或偷窃合 法节点身份， 以多个虚假身份出现在网络的其他节点面前， 使其更容易成为路由路径中的节 点，吸引数据流以提高目标数据流经过自身的概率。 Sybil 攻击具有很强的破坏性，主要表现在以下几个方面：Sybil 攻击通过控制网络中 的大部分节点来削弱分布式存储算法中冗余备份的作用；Sybil 攻击破坏无线传感器网络 中的路由算法；Sybil 攻击破坏数据融合机制；Sybil 攻击破坏投票机制；Sybil 攻击 A B M (b) AB M (c) A B M (a) AB M (d) - 3 - 破坏公平资源分配机制；Sybil 攻击破坏非法行为检测机制。 2.2.2 选择性转发攻击选择性转发攻击 节点收到数据包后， 有选择地转发或者根本不转发收到的数据包， 导致数据包不能到达 目的地。这种攻击的工作方式是：恶意节点扮演一个黑洞的角色，丢弃所有收到的数据包。 然而，这种攻击者冒着一定的风险，因为它们很可能会被邻节点认为该路由失败，而寻找另 外的有效路由。 因此， 发起选择性转发攻击的攻击者最可能攻击的路径是抵抗力最弱的路径， 并且企图将自己藏身于数据流传输的实际路径之上。Sybil 攻击以及下面要介绍的 Sinkhole 攻击， 都能有效的将攻击者自身包含于目标数据流路径中。 选择性转发攻击经常出现在定向 扩散协议、基于地理位置的路由协议、基于分簇的协议(LEACH、TEEN、PEGASIS)中。 2.2.3 Sinkhole 攻击攻击 Sinkhole 攻击的一种典型的方式就是让一个敌方节点依照路由算法成为最吸引周边节 点的节点。 一个敌方节点可以伪造或重放一个路由声明， 声称自己有一条质量很高的通往某 基站（sink 节点）的路由。进行 Sinkhole 攻击的一个目的便是进行有选择的转发，因为敌方 人员确知一个目标区域的所有业务流都将流经某个已被控制的 sinkhole 节点， 他便能有选择 的阻止或篡改受攻击区域中任一节点发出的数据包。Sinkhole 攻击经常出现在 TinyOS 信标 协议、基于地理位置的路由协议、最小成本转发协议以及谣传路由协议中。 2.2.4 Wormhole 攻击攻击 在 Wormhole 攻击中，常见的攻击形式是两个相距很远的恶意节点通过特定方式一起虚 报它们之间的距离。被安置在基站附近的敌方人员可以通过生成一个 wormhole，彻底阻断 通向基站的路由。这种攻击的本质其实是：利用 wormhole 产生 sinkhole，再进行选择性转 发攻击。Wormhole 攻击经常出现在 TinyOS 信标协议、定向扩散协议、最小成本转发协议以 及谣传路由协议中。 3. 典型的安全路由协议简述典型的安全路由协议简述 随着无线传感器网络中高机密或高敏感度数据传输业务的日益增多， 设计适应这些场景 的路由协议就必须权衡考虑能耗和安全约束的关系。目前，针对上述各攻击类型，适用无线 传感器网络的安全路由协议较少， 典型的基于安全的路由协议有 SPINS 协议、 TRANS 协议、 INSENS 协议等。 3.1 SPINS（Security Privacy In Sensor Network）协议）协议 SPINS 协议2,3是一种通用的传感器网络安全协议，为建立无线传感器网络安全通信提 供了 SNEP （Secure Network Encryption Protocol） 和 TESLA （micro Timed Efficient Streaming Loss-tolerant Authentication Protocol）两个安全基础协议。SNEP 提供了数据机密性、双向数 据认证和数据实时性（data freshness） 。通过在通信双方采用 2 个同步的计数器，并运用于 加密和消息认证码（MAC，Message Authentication Code）计算中，从而获得了数据机密性 （满足语义安全） 、数据认证、完整性及重放保护功能，并具有较低通信开销。该协议还通 过发送者在请求报文中向接收者发送一个不重复随机数， 并在接收者应答报文中的 MAC 计 算中纳入该随机数，而实现了强新鲜性，可用于时间同步。TESLA 是一个在资源受限情况 下提供认证广播的协议。该协议通过应用对称密钥算法来实现认证广播，在 TESLA 协议基 - 4 - 础上进行了扩展和适用性改造得到的协议，更能满足资源高度受限的无线传感器网络。 SPINS 协议还分别利用 SNEP 和 TESLA 协议实现了路由认证方案和安全的点到点密钥协 商，而且具有较低的计算、存储和通信开销。 3.2 TRANS（Trust Routing for location-aware sensor networks）协议）协议 TRANS 协议4是一个建立在地理路由协议之上的安全机制，为无线传感器网络中隔离 恶意节点和建立信任路由提出了一个以位置为中心的体系结构。TRANS 的主要思想是使用 信任概念来选择安全路径和避免不安全位置。假定目标节点使用松散的时间同步机制 TESLA 来认证所有的请求，每个节点为其邻居位置预置信任值，一个可信任的邻居是指能 够解密请求且有足够信任值的节点，这些信任值由基站（sink 节点）或其他中间节点负责记 录。基站（sink 节点）仅将信息发给它可信任的邻居，这些邻居节点转发数据包给它的最靠 近目标节点可信任的邻居， 这样信息包沿着信任节点到达目的地。 每一个节点基于信任参数 计算其邻居位置的信任值， 当某信任值低于指定的信任阈值， 在转发信息包时就避过该位置。 协议的大部分操作是在基站（sink 节点）完成的，这样可以减轻传感器节点的负担。 3.3 INSENS(Intrusion-Tolerant Routing in Wireless Sensor Networks)协议协议 INSENS 协议是一种面向无线传感器网络的安全入侵容忍路由协议。5该协议能够为 WSN 安全有效地建立树结构的路由。整个过程分为三个阶段：1、基站广播路由请求包；2、 每个节点单播一个包含邻近节点拓扑信息的路由回馈信息包； 3、 基站验证收到的拓扑信息， 然后单播路由表到每个传感器。 协议结合有效的单向散列链去阻止入侵者发起泛洪攻击。 内 嵌的 MAC 可以唯一安全的把一个 MAC 与某个节点，某个路径和特定的 OHC 号相关联， 因此可以防御通过虫洞的重放攻击。该协议借鉴了 SPINS 协议的某些思想。例如，利用类 似 SNEP 的密码 MAC 来验证控制数据包的真实性和完整性，密码 MAC 是验证发送到基站 的拓扑信息完整性的关键。它还利用 TESLA 中单向散列函数链（OHC）所实现的单向认 证机制来认证基站发出的所有信息，这是限制各种拒绝服务攻击和 rashing 攻击的关键。另 外，该协议还通过每个节点只与基站共享一个密钥、丢弃重复报文、速率控制以及构建多路 径路由等的方法，限制了洪泛攻击，并使得恶意节点所能造成的破坏被限制在局部范围，而 不会导致整个网络的断裂或失效。 除了通过采用对称密钥密码系统和单向散列函数这些低复 杂度安全机制外， 该协议还将路由表计算等复杂性工作从传感器节点转移到资源相对丰富的 基站（sink 节点）进行，以解决节点资源约束问题。 4. 典型安全路由协议分析与比较典型安全路由协议分析与比较 表 2 三种安全路由协议特点及问题分析 协议名称 特点 缺陷（待解决问题） SPINS 协议 提供 SNEP 和 TESLA 两个安 全基础协议；实现了路由认证 方案和安全的点到点密钥协 商 要求密钥存在；没有考虑 DoS 攻击及密钥更新问题 TRANS 协议 提出了基于信任的机制来隔 离不安全的节点 需不断监视邻居节点以建立 信任机制，需消耗大量能量 INSENS 协议 将破坏限制在入侵者周围及 其下游区域 在基站附近仍会造成较大破 坏 - 5 - 如前所述及表 2 所示， 尽管 SPINS 协议通过提供 SNEP 和 TESLA， 从一定程度上解决 了许多安全问题，但仍然存在一些问题亟待解决：SPINS 框架协议虽然定义了传感器网络 安全传输所需要的绝大部分内容，但没有考虑 DoS 攻击的可能性；SPINS使用的安全引 导协议是预共享密钥对的形式，过分依赖基站；SNEP没有考虑通信密钥更新问题；能 保证单个节点的破解不会暴露其他节点的密钥， 但不能解决泄密节点的许多其余问题。 为 保证安全引导过程作了很多额外的处理，协议实现比较复杂。TRANS 协议虽然提出了基于 信任的机制来隔离不安全的节点， 但是它是通过不断监视邻居节点来建立信任机制的， 节点 必须不断处于工作状态， 从而消耗大量的能量， 并且网络阻塞或恶劣环境都会影响其观测值 的准确性。INSENS 协议虽然将破坏限制在入侵者周围及其下游区域，但是，当一个内部攻 击者处于基站附近时，造成破坏范围仍会较大。总之，上述几种路由协议均假定每个传感器 节点都与基站有一个唯一的共享密钥， 并且这种安全密钥已经存在。 这种方式过分依赖基站， 因此要求基站的物理安全必须有所保证。 5. 总结与展望总结与展望 本文较全面地对无线传感器网络安全需求、 安全威胁及攻击类型等方面进行了详述与归 类，并认真分析了三种典型的 WSN 安全路由协议的工作原理，对各协议的优缺点进行了阐 述与比较。 这些工作为路由协议的改进及新路由协议的提出作了铺垫， 为安全路由协议体系 的发展提供了某些启示性想法。 下一步工作将在路由协议设计中加入对信任度的评价及讨论 信任度对路径选择的影响。 参考文献参考文献 1 余群.无线传感器网络 Sybil 攻击检测及安全路由协议研究D.苏州:江苏大学,2006 2 A. Perrig, R. Szewczyk, D. Tygar, V. Wen, D. Culler, SPINS: Security protocols for sensor networks